Algemene Verordening Gegevensbescherming

25 Mei 2018 Is de Nederlandse Wet bescherming persoonsgegevens (WBP) niet meer van kracht zijn. Vanaf die datum bestaat er alleen de Europese Algemene Verordening Gegevensbescherming (AVG) nog. In Europa bekend als General Data Protection Regulation (GDPR). Deze verordening is op 14 april 2016 door de Europese Unie goed gekeurd. 20 Dagen na de publicatie van het officiële GDPR-document op 4 mei 2016 is de verordening in werking getreden. Echter, er geldt een overgangsperiode tot 25 mei 2018. De WBP is een nationale wetgeving welke dus vervangen wordt door één Europese wetgeving, de AVG.

WAT VERANDERD ER OP 25 MEI 2018?

Wat er vooral veranderd is een verschuiving van rechten, plichten en verantwoordelijkheid. Bedrijven, organisaties en overheden, ongeacht hoe groot, moeten kunnen aantonen dat zij zich aan de AVG houden. Een goede administratie op persoonsgegevens, of gegevens die naar persoonsgegevens kunnen herleiden, is dus gewenst. Mensen daarentegen krijgen meer rechten voor wat betreft het bewaren, verplaatsen of laten verwijderen van hun persoonsgegevens.

DE RECHTEN VAN DE MENSEN

Toestemming

In de AVG is een artikel opgenomen waarin de voorwaarden staan om geldige toestemming van mensen te krijgen voor het verkrijgen en verwerken van persoonsgegevens. Organisaties moeten aantonen dat ze die toestemming hebben gekregen en mensen moeten die toestemming ook net zo makkelijk weer in kunnen trekken.

Recht om vergeten te worden

Naast het al bestaande recht om te vragen om alle verkregen persoonsgegevens te verwijderen kunnen de mensen ook eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die de persoonsgegevens van deze organisatie hebben gekregen.

Dataportabiliteit

Mensen hebben onder het AVG ook het recht om alle persoonsgegevens van de organisatie in een standaardformaat te ontvangen. Mensen kunnen zelfs eisen dat, mits technisch mogelijk, wanneer zij zich uitschrijven bij de ene dienstverlener die dienstverlener de persoonsgegevens direct doorstuurt naar de nieuwe soortgelijke dienstverlener.

WAT VERANDERD ER VOOR EEN ORGANISATIE:

Organisaties krijgen te maken met een grotere verantwoordingsplicht. Zij moeten, met documenten, kunnen aantonen dat zij technisch én organisatorisch voldoen aan de AVG. Zij zullen bij gebruikmaking van een derde partij daarom zich er van verzekeren dat die derde partij ook voldoet aan de AVG, ook als die partij van buiten de EU is. Uiteraard moet die derde partij dan wel in aanraking komen met de persoonsgegevens.

Sommige organisaties zullen verplicht een Functionaris voor Gegevensbescherming aan moeten stellen. Iemand die onafhankelijk zijn taak kan uitoefenen. Dit geldt voor overheidsorganisaties, zorg- en onderwijsinstanties en organisaties die (bijzondere) persoonsgegevens bijhouden en verwerken. Voorbeelden zijn bedrijven die aan profilering doen.

HOE KUN JE JE ALS KLEINE ONDERNEMER VOORBEREIDEN OP DE AVG?

Uiteraard bent u hier al mee bezig of misschien zelfs al mee klaar. In ieder geval vind u hieronder een kleine opsomming van aandachtspunten.

  1. Documenteer welke persoonsgegevens, of gegevens die tot persoonsgegevens kunnen herleiden, door u worden bewaard, verwerkt.
  2. Zorg dat u toestemming hebt voor het verkrijgen, opslaan en verwerken van de persoonsgegevens, ook door derden.
    De toestemming die u in het verdere verleden heeft verkregen zijn in de meeste gevallen niet meer toereikend. Kijk na of dit bij u het geval is.
  3. Heeft u uw privacy verklaring al aangepast? Deze moet in Jip & Janneke taal omschreven staan en veel uitgebreider dan nu het geval is.
  4. Heeft u gedocumenteerd wat u gaat doen bij eventuele datalekken en wat doet u om te voorkomen dat u datalekken kunt krijgen? Wees u er ook van bewust dat het kan gebeuren dat u de personen waarvan data is gelekt moet inlichten. Dit laatste is al zo sinds 1 januari 2016.
  5. Bent u een overheidsinstantie, een zorginstelling of een instantie die veel persoonsgegevens vergaart? Dan heeft u een Functionaris voor de Gegevensverwerking (FG) nodig.
  6. Privacy by Design & Privacy by Default: Bij ontwerpen van producten en diensten dient u ervoor te zorgen dat persoonsgegevens goed worden beschermd. Hierbij hoort ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking en dat u de gegevens niet langer bewaart dan nodig. Technische en organisatorisch dient u maatregelen te nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
  7. Bent u een organisatie met 250 of meer personen of misschien wel kleiner maar verwerkt u veel of bijzondere persoonsgegevens? Dan bent u verplicht een register bij te houden waarin alle activiteiten rondom de gegevensverwerking omschreven staat.
  8. Is uw beveiliging op orde? Zijn alle software updates geïmplementeerd, is uw virusscanner up-to-date, is uw internetconnectie secure, zijn de juiste gebruiksrechten aan de juiste medewerkers verleent.
  9. Zijn uw externe organisaties en hun producten & diensten klaar voor AVG? Zorg ook dat de externe diensten die u gebruikt AVG-proof zijn zodra ze in contact komen met persoonsgegevens of gegevens die herleid kunnen worden tot persoonsgegevens.

Neemt u eens een kijkje op de website van Autoriteit Persoonsgegevens om u verder in te lezen in de op handen zijnde AVG.
Of als u het liever in het Engels leest, kunt u ook naar de website van GDPR gaan.

SLOTWOORD

Veel mensen zullen er niet bij stilstaan maar iets simpels als een offerte bevat vaak ook al tot personen herleidbare gegevens, een contactformulier of nieuwsbrief inschrijving bevat dit sowieso en cookies? Ja, elke website maakt gebruik van cookies. Gelukkig kunnen cookies meer dan alleen persoonsgegevens verzamelen.
Loop uw website en administratie goed na om vanaf 25 mei niet voor verrassingen te komen te staan.